Quelqu’un regarde toujours
Les chercheurs ont analysé les 100 000 sites Web les plus populaires et examiné différents scénarios – par exemple, ils ont comparé le comportement des sites Web visités par les utilisateurs pendant leur séjour dans l’UE et aux États-Unis.
Ils ont constaté que 1 844 portails collectaient des adresses e-mail avant que les formulaires ne soient soumis et approuvés par les utilisateurs de l’UE. Pour les États-Unis, c’était 2950. Beaucoup d’entre eux contiendraient des logiciels de marketing et d’analyse tiers qui collectent ces informations automatiquement.
Fait intéressant, les chercheurs ont également découvert que les mots de passe de 52 sites Web avaient été collectés par inadvertance par des scripts de relecture de session externes. Le groupe a publié ses conclusions sur ces sites et les 52 cas auraient été résolus.
L’étude montre que les sites Web utilisent différentes méthodes de collecte de données. Certains d’entre eux ont enregistré des frappes au clavier, tandis que d’autres ont extrait des rapports complets d’un champ lorsque les utilisateurs ont cliqué sur le suivant.
Asuman Senol, chercheur sur la vie privée et l’identité à la KU Leuven et l’un des co-auteurs de l’étude, a commenté :
Dans certains cas, lorsque vous cliquez sur le champ suivant, ils collectent les précédents, tout comme vous cliquez sur le champ du mot de passe et collectez un e-mail, ou vous cliquez simplement n’importe où et ils collectent immédiatement toutes les informations. Nous ne nous attendions pas à trouver des milliers de sites Web ; et aux États-Unis, les chiffres sont vraiment élevés, ce qui est intéressant.
Au cours de l’enquête, les chercheurs ont également découvert que Meta (anciennement Facebook) et TikTok collectaient des données personnelles cryptées à partir de formulaires Web, même si l’utilisateur choisit de ne pas soumettre le formulaire.
Nous serons suivis encore plus efficacement
Comme l’a souligné Güneş Akar, professeur et chercheur au Digital Security Group de l’Université Radboud et co-responsable de la recherche :
Si votre formulaire comporte un bouton >> Soumettre <<, il est raisonnable de s’attendre à ce qu’il fasse quelque chose : soumettez vos données lorsque vous cliquez dessus. Nous avons été très surpris par ces résultats. Nous pensions pouvoir trouver plusieurs centaines de sites Web qui collectent vos e-mails avant que vous ne les envoyiez, mais cela a définitivement dépassé nos attentes.
Il a également déclaré que le risque pour la vie privée des utilisateurs est qu’ils seront suivis encore plus efficacement sur les sites Web, les sessions, les appareils mobiles et les ordinateurs de bureau.
Une adresse e-mail est un identifiant de suivi très utile car elle est globale, unique et persistante. Cela ne peut pas être effacé lorsque vous supprimez vos cookies. C’est un identifiant très puissant.
Les chercheurs prévoient de présenter leurs découvertes lors de la conférence sur la sécurité Usenix en août.
Que pensez-vous des résultats de l’étude ? Faites-moi savoir dans les commentaires.
Source : wired.com, home.esat.kuleuven.be/~asenol/leaky-forms/
Laisser un commentaire